【安全通告】Linux apt/apt-get 远程代码执行漏洞 (CVE-2019-3462)

作者:   广州非凡信息安全技术有限公司(总部广州) 2019/01/29 14:45:01 251次阅读 国际

【安全通告】Linux apt/apt-get 远程代码执行漏洞(CVE-2019-3462)

当地时间1月22日,研究员Max Justicz公布了Linux apt/apt-get的一个远程代码执行漏洞。该漏洞源于apt没有合理的处理重定向时的某些参数,攻击者可以利用中间人攻击或者一个恶意的下载镜像来触发该漏洞,导致远程代码执行。

?受影响的版本

Apt version < 1.4.9

不受影响的版本

Apt version 1.4.9

解决方案

Apt已经发布了新的1.4.9版本修复了上述漏洞。
Debian用户的升级步骤请参考:
https://lists.debian.org/debian-security-announce/2019/msg00010.html
Ubuntu用户的升级步骤请参考:
https://usn.ubuntu.com/3863-1/
用户在升级时可以通过禁用HTTP重定向功能来保证升级过程中的安全,操作如下:
$ sudo apt update -o Acquire::http::AllowRedirect=false
$ sudo apt upgrade -o Acquire::http::AllowRedirect=false
详细信息可参考:
https://justi.cz/security/2019/01/22/apt-rce.html


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室